🌐 VLAN (Virtual Local Area Network)
1. Что такое VLAN?
VLAN (Virtual Local Area Network) — это логическая сегментация физической сети, позволяющая разделить одну физическую сеть на несколько изолированных логических сетей. Устройства в разных VLAN не могут взаимодействовать напрямую без маршрутизации.
💡 Пример: В одной компании можно создать отдельные VLAN для отдела IT, бухгалтерии и гостей, чтобы ограничить доступ между ними.
2. Зачем нужны VLAN?
- Изоляция трафика: Разделение пользователей и устройств для повышения безопасности.
- Управление широковещательными доменами: Уменьшение размера broadcast-доменов улучшает производительность сети.
- Гибкость управления: Возможность группировать устройства по функциональному назначению, а не по физическому расположению.
- Повышение безопасности: Ограничение доступа между VLAN предотвращает прослушивание трафика другими пользователями.
- Экономия оборудования: Не нужно покупать дополнительные коммутаторы или прокладывать новые кабели.
3. Как работает VLAN?
🔁 Принцип работы:
- Каждый порт коммутатора может быть назначен определённому VLAN.
- Трафик внутри одного VLAN передаётся только между устройствами этого VLAN.
- Для обмена данными между VLAN необходим маршрутизатор или многослойный коммутатор (L3 switch).
- Метка VLAN (tag) добавляется к Ethernet-фрейму для идентификации принадлежности к VLAN (стандарт IEEE 802.1Q).
4. Типы портов коммутатора
| Тип порта | Описание |
|---|---|
| Access Port | Подключает конечное устройство (например, ПК). Передаёт трафик только одного VLAN без метки. |
| Trunk Port | Используется для связи между коммутаторами или с маршрутизатором. Может передавать трафик нескольких VLAN с метками IEEE 802.1Q. |
| Hybrid Port | Комбинированный тип, поддерживающий как tagged, так и untagged VLAN. |
5. IEEE 802.1Q — стандарт VLAN
- IEEE 802.1Q — это стандарт, определяющий способ маркировки Ethernet-фреймов для указания принадлежности к VLAN.
- Добавляет 4 байта в заголовок Ethernet-фрейма.
- Поле VID (VLAN ID) занимает 12 бит и позволяет использовать номера VLAN от 1 до 4094.
- VID = 0 — зарезервировано, VID = 4095 — недопустимо.
6. VLAN Trunking Protocol (VTP)
VTP (VLAN Trunking Protocol) — протокол Cisco, используемый для автоматического распространения информации о VLAN между коммутаторами.
Режимы VTP:
| Режим | Описание |
|---|---|
| Server | Может создавать, удалять и изменять VLAN. Распространяет информацию. |
| Client | Только получает информацию о VLAN. Не может её изменять. |
| Transparent | Не участвует в VTP, но пересылает сообщения другим коммутаторам. |
⚠️ VTP требует осторожного использования: ошибочная настройка может удалить все VLAN в сети.
7. Примеры применения VLAN
| Сценарий | Описание |
|---|---|
| Корпоративная сеть | Отделы (IT, HR, финансы) находятся в разных VLAN для изоляции трафика. |
| Wi-Fi гостей | Гости получают доступ в интернет через отдельный VLAN без доступа к внутренней сети. |
| VoIP | Голосовой трафик выделяется в отдельный VLAN для приоритизации и безопасности. |
| Облачные дата-центры | VLAN используются для изоляции клиентов или сред (dev, test, prod). |
8. Маршрутизация между VLAN
Для связи между VLAN используется маршрутизация:
🔄 Варианты реализации:
| Метод | Описание |
|---|---|
| Router-on-a-stick | Маршрутизатор подключается к одному trunk-порту коммутатора и обрабатывает трафик всех VLAN. |
| Layer 3 Switch | Современные коммутаторы с поддержкой маршрутизации (например, Cisco Catalyst с IP Base или Enterprise Services). |
| Firewall / UTM | Некоторые межсетевые экраны могут выполнять роль шлюза между VLAN. |
9. Конфигурация VLAN
🧾 Cisco IOS (коммутатор)
! Создание VLAN
vlan 10
name IT
vlan 20
name Finance
! Назначение порта VLAN
interface FastEthernet0/1
switchport mode access
switchport access vlan 10
! Настройка trunk-порта
interface FastEthernet0/24
switchport mode trunk
🧾 MikroTik (Switch OS)
/interface vlan
add name=vlan10 vlan-id=10 interface=ether1
add name=vlan20 vlan-id=20 interface=ether1
/ip address
add address=192.168.10.1/24 interface=vlan10
add address=192.168.20.1/24 interface=vlan20
10. Полезные команды
🖥 Cisco
show vlan brief ! Показать список VLAN
show interfaces trunk ! Информация о trunk-портах
show running-config ! Проверить текущую конфигурацию
🐧 MikroTik
/interface vlan print
/ip address print
/interface ethernet switch vlan print
11. Безопасность VLAN
Несмотря на изоляцию, VLAN не обеспечивают абсолютной безопасности. Возможны следующие угрозы:
| Угроза | Описание |
|---|---|
| VLAN Hopping | Атака, позволяющая получить доступ к другому VLAN. |
| Double Tagging | Использование двойной метки 802.1Q для обхода защиты. |
| Трассировка ARP | Возможность прослушивания ARP-трафика в своём VLAN. |
🔒 Рекомендации по безопасности:
- Отключите неиспользуемые порты.
- Используйте Private VLANs для дополнительной изоляции.
- Настройте Port Security для ограничения MAC-адресов.
- Избегайте использования VLAN 1 для пользовательского трафика.
- Используйте Dynamic ARP Inspection (DAI) и DHCP Snooping.
12. FAQ
❓ Можно ли использовать один VLAN на нескольких коммутаторах?
- Да, если они соединены через trunk-порт.
❓ Нужен ли маршрутизатор для связи между VLAN?
- Да, без маршрутизации устройства в разных VLAN не смогут обмениваться данными.
❓ Какой диапазон номеров VLAN допустим?
- Обычно от 1 до 4094. VLAN 1 — умолчательный, VLAN 1002–1005 — зарезервированы.
❓ Что такое Native VLAN?
- Это VLAN, для которого трафик на trunk-порту передаётся без метки. По умолчанию — VLAN 1.